보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

행정안전부 신민필 과장, 보안 역량 강화한 디지털정부 청사진 제시

  |  입력 : 2021-05-12 23:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
SECON & eGISEC 2021에서 ‘사이버보안 강화 정책 방향’ 주제로 특별강연 진행
신민필 디지털안전정책과장, “지능형 보안관제, 개발보안 의무화 등 기존 보안 패러다임 바꿀 것”


[보안뉴스 이상우 기자] 세계보안엑스포(SECON & eGISEC 2021)가 일산 킨텍스에서 막을 올렸다. 올해로 20회를 맞는 세계보안엑스포는 물리보안과 사이버보안을 아우르는 국내 최대 규모의 보안 전문 전시회로, 과학기술정보통신부, 행정안전부, 산업통상자원부 등이 후원하는 보안전문 행사다.

▲행정안전부 디지털안전정책과 신민필 과장[사진=보안뉴스]


행정안전부 디지털안전정책과 신민필 과장은 이번 행사 기간 중 ‘디지털정부의 사이버보안 강화 정책 방향’을 주제로 특별강연을 진행했다. 그는 강연을 통해 오늘날 우리가 맞이하고 있는 사이버 공격 동향은 어떠한지, 현재 디지털정부는 사이버공격에 대응해 어떤 대응을 하고 있는지, 정부 보안 강화를 위해 향후 어떤 정책을 펼칠지 공유했다.

신민필 과장은 “최근 발생한 솔라윈즈 사태는 최악의 공급망 공격이라 할 수 있다. 민간기업뿐만 아니라 정부기관까지 피해 대상이 됐으며, 이번 사례를 통해 출시단계부터 소프트웨어 보안을 고려하지 않으면 큰 위협이 될 수 있다는 점을 보여줬다”고 말했다.

이어, “또한, 최근 해킹은 기업화가 이뤄지며 금전을 요구하는 공격이 늘어났다. 특히, 비대면 디지털 사회에 들어서면서 정보자산의 가치가 상승했고, 이를 노리는 사이버공격 역시 꾸준히 증가하는 추세다. 마지막으로 엔드포인트에 대한 위협 역시 증가했다. 코로나19로 인해 많은 기업이 재택근무 장기화를 선택하고 있으며, 사이버공격자는 이러한 엔드포엔트를 노린다. 따라서 알려진 공격 유형과 취약점에 대해 더 빠르게 방어할 필요가 있다”고 말했다.

정부는 현재 이러한 사이버공격에 대응하기 위해 ‘국가사이버위협대응체계’를 구축했다. 청와대 국가안보실을 컨트롤타워로 중앙행정기관, 지자체, 국방·입법·민간·사법 등 주요 부문에 대한 보안관제를 운영 중이다. 특히, 디지털정부의 핵심이라 할 수 있는 국가정보자원관리원을 철저히 방어하고 있다.

국가정보관리원은 총 45개 부처, 4만 6,000여대에서 발생하는 정보자산을 24시간 관리하고 있으며, 모든 중앙행정기관, 지자체, 입법·사법기관까지 시스템에 연결돼 있어 전자정부의 심장에 해당한다. 주민등록, 보건복지, 검찰, 형사사범 등 중앙부처 데이터는 물론, 내년에는 대구센터를 개소해 건강보험이나 공무원 연금 등 공공기관 시스템까지 연계할 계획이다. 또한, 재난이나 전쟁 등의 상황에도 대비할 수 있도록 이를 백업하는 센터 역시 구축하고 있는 상황이다.

신민필 과장은 “국가정보자원관리원은 제로트러스트를 기반으로 nAegis(내셔널 이지스)라는 방어체계를 구축했다. 이는 세 가지 원칙으로 운영되며, 우선 명확한 근거 없이는 아무도 신뢰하지 않고, 철저히 검증된 접근만 허용하는 화이트리스트 방식으로 운영하며, 접근자의 권한을 최소화함과 동시에 전체 트래픽에 대한 모니터링도 수행한다”고 말했다.

이어 “국가정보자원관리원은 실제로도 많은 공격 시도가 발생한다. 이러한 사이버 공격은 증가하고 관제인력은 부족하기 때문에 보안장비나 분석인력을 늘리는 전통적 해결 방식으로는 한계가 분명히 있다. 이 때문에 우리는 사이버위협 대응 패러다임을 바꾸려고 한다. 알려진 공격은 인공지능으로 자동화 대응하고, 신종 공격에 대해서는 공격자 브리핑 및 접근 의도 파악 등 능동적으로 대응하는 것이 목표다”고 덧붙였다.

국가정보자원관리원은 지난해까지 지능형보안관제체계 구축을 완료하고, 올해부터는 보안 오케스트레이션, 자동화 및 대응(SOAR) 적용을 추진하고 있다. 또한, 한국지역정보개발원은 빅데이터 기반 보안관제 시스템을 이미 2018년에 도입했으며, 올해에는 시군구 등 기초자치단체까지 이를 확대할 계획이다. 뿐만 아니라 예방을 위한 인공지능 기반 자동화 등 사이버보안 패러다임을 바꿔나갈 방침이다.

행정안전부는 디지털정부의 사이버보안 강화를 위해 우선 소프트웨어 개발보안, 즉 시큐어코딩에 대해 제도화를 추진한다. 향후 5억 원 이상의 비용이 투입되는 정부사업에서 전자정부법 개정을 추진해 개발보안 적용 의무화를 마무리할 계획이다. 또한, 공공기관 웹사이트 및 애플리케이션에 대한 점검을 통해 보안약점을 제거하는 작업을 올해에도 계속해서 추진한다. 이 밖에도 보안약점에 대한 기준을 제시하는 가이드라인을 개발하고, 개발보안에 대한 인식 제고를 위해 교육과 컨퍼런스도 진행한다.

네트워크 구간에 대한 보호도 강화한다. 얼마 전까지도 일부 정부 웹서비스에서 HTTPS를 적용하지 않아 로그인에 쓰이는 ID 및 비밀번호 등이 외부로 유출될 가능성이 존재했다. 행안부에 따르면 현재 약 1만 4,000개의 사이트가 개인정보를 다루고 있는 것으로 파악하고 있다. 특히, HTTPS 적용을 위한 인증서의 경우 해외 제품이 대부분이며, 이 때문에 수십억 원의 인증 비용이 매년 해외로 나가는 실정이다. 이를 위해 정부는 ‘정부SSL 인증서’ 구축을 추진한다. 특히, 구글 크롬, 모질라 파이어폭스 등 해외 웹 브라우저에서도 정부 SSL 인증서와 호환할 수 있도록 웹 트러스트를 추진할 계획이다. 국제인증 등의 과정을 거친뒤 오는 2025년에는 정부 SSL 인증서를 발급한다.

다음으로는 정보시스템 등급별 보안관리 제도의 확대다. 정부는 지난 2015년부터 이를 통해 주요 정보시스템의 등급에 따라 적용해야 하는 보안 수준을 제시하고 올해 4월에는 2차 가이드라인을 배포했다. 향후 행안부는 신규 정보시스템에 대해 등급지정을 필수적으로 하도록 추진한다.

행안부는 지자체 정보보호 기초역량 향상을 위해 취약점 자동진단체계를 마련하고, 망분리를 통한 보안 강화를 지원할 계획이다. 서버나 웹 서비스 등에 대한 자동진단 시스템 포털을 지난해 구축 완료했으며, 올해부터는 이를 통합관리시스템과 연계해 적용한다. 망 분리도 오는 2024년까지 추진한다. 물리적·논리적 망분리 등 각 기관이나 지자체 특성에 맞는 망분리 방안을 찾고 이를 적용하도록 지원할 계획이다. 이 밖에도 보안담당자의 전문직위를 지자체에 지정 및 확대해 장기 재직을 유도한다는 방침이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북